Russische hackers bespioneren Oekraïense rekruten
De Threat Intelligence Group van Google legt met UNC5812 een spionageproject van Russische bodem bloot. Via populaire kanalen op Telegram proberen hackers toegang te krijgen tot de telefoons en computers van Oekraïense rekruten, om ze daarna te kunnen bespioneren.
De hackers proberen vooral Oekraïense dienstplichtigen in de val te lokken. Dat gebeurt in eerste instantie via een Telegram-kanaal, waarin de Russische hackers doen alsof ze een NGO zijn. De organisatie noemt zichzelf “Civil Defense” en verspreidt software waarmee dienstplichtigen de locatiegegevens van rekruteerders kunnen zien. Telegram is ongekend populair in Oost-Europa, maar het is niet de weg waarlangs de malware gaat. In plaats daarvan proberen de hackers hun slachtoffer naar een website te lokken.
Malware voor Windows en Android
Daar moet je namelijk zijn indien je de software van Civil Defense wil installeren. Voor de hackers maakt het niet uit of je daar met een Windows-pc of Android-telefoon naartoe surft: voor beide platforms bieden ze malware aan. De website van Civil Defense zegt dat de software ook beschikbaar is voor macOS en iOS, maar daar vond de Threat Intelligence Group geen malware voor.
Voor Android werd een softwarepakket aangeboden met daarin CraxsRAT, een gekende exploit voor het mobiele besturingssysteem. Er bestaan ook variaties voor, die de SUNSPINNER-malware op Android binnenhaalt. Gebruikers worden daarnaast ook aangespoord om Google Play Protect handmatig uit te schakelen. Volgens de aanbieders gebeurt dat om je identiteit geheim te houden en is dat noodzakelijk voor de veiligheid. Niets is minder waar: door Play Protect uit te schakelen, krijgt de malware net vrij spel.
Op Windows werken de cybercriminelen met een installer, gekend als de Pronsis Loader. Daarmee installeren ze uiteindelijk SUNSPINNER en PURESTEALER op het systeem. De uiteindelijke bedoeling is om data te stelen, zoals browsergegevens, wachtwoorden of cookies. Daarmee hopen de cybercriminelen in te breken op sociale media-accounts of andere berichtendiensten, cryptowallets. PURESTEALER en CraxsRAT worden te koop aangeboden op hackersfora. In dit geval proberen de Russische hackers niet alleen gegevens van Oekraïners te ontfutselen, maar proberen ze ook de werving van nieuwe strijdkrachten te saboteren. Daarbij lijkt deze Civil Defense-groep deel uit te maken van een breder desinformatienetwerk: Google ziet hoe een video van Civil Defense na een dag gedeeld wordt door de Russische ambassade in Zuid-Afrika.
Google treft maatregelen
Google laat alvast weten dat het de betrokken websites toevoegt aan Safe Browsing. Chrome-gebruikers krijgen daardoor altijd eerst een waarschuwing te zien voor ze de webpagina kunnen bezoeken. Verder nam Google contact op met de Oekraïense overheid. Die bekijkt of het mogelijk is om de website van Civil Defense te blokkeren in het land, om de impact ervan op de oorlog te beperken.
